Usar claves de encriptado gestionadas por el cliente (CMEK)

De forma predeterminada, Eventarc cifra el contenido del cliente en reposo. Eventarc se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Eventarc. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceso a tus recursos de Eventarc será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).

Las claves de cifrado gestionadas por el cliente se almacenan como claves de software, en un clúster de Cloud HSM o externamente mediante Cloud External Key Manager.

Qué se protege con CMEK

Puede configurar CMEK para cifrar los mensajes de eventos que pasan por los siguientes recursos avanzados de Eventarc:

  • MessageBus: un bus de Eventarc Advanced
  • Pipeline—Un flujo de procesamiento de Eventarc Advanced
  • GoogleApiSource: un recurso avanzado de Eventarc que representa una suscripción a eventos de la API de Google de un bus concreto.

Para obtener más información, consulta el resumen avanzado de Eventarc.

Cuando habilitas las CMEKs en un recurso, se protegen los datos asociados a ese recurso en esa región mediante una clave de cifrado a la que solo tú puedes acceder.

Cloud KMS y Eventarc son servicios regionalizados. La región de la clave de Cloud KMS y del recurso protegido de Eventarc Advanced deben ser la misma.

Antes de empezar

Antes de usar esta función en Eventarc, debes realizar las siguientes acciones:

Consola

  1. Enable the Cloud KMS and Eventarc APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  2. Crea un conjunto de claves.
  3. Crea una clave para un conjunto de claves específico.

gcloud

  1. Actualiza gcloud componentes. 
    gcloud components update
  2. Habilita las APIs Cloud KMS y Eventarc en el proyecto que almacenará tus claves de cifrado. 
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Crea un conjunto de claves.
  4. Crea una clave para un conjunto de claves específico.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

Conceder acceso a una clave a la cuenta de servicio de Eventarc

Para conceder acceso a la clave de Cloud KMS a la cuenta de servicio de Eventarc, añade la cuenta de servicio como principal de la clave y concédele el rol Encargado del cifrado y descifrado de la clave criptográfica de Cloud KMS:

Consola

Cuando habilitas CMEK en un bus o una canalización mediante la Google Cloud consola, se te pide que asignes el rol Encargado del cifrado y descifrado de claves criptográficas de Cloud KMS a la cuenta de servicio. Para obtener más información, consulta Habilitar CMEK en un bus o Habilitar CMEK en una canalización en este documento.

gcloud

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Haz los cambios siguientes:

  • KEY_NAME: el nombre de la clave (por ejemplo, my-key).
  • KEY_RING: el nombre del conjunto de claves. Por ejemplo: my-keyring
  • REGION: la ubicación de la clave. Por ejemplo: us-central1

  • SERVICE_AGENT_EMAIL: la dirección de correo de la cuenta de servicio con el rol eventarc.serviceAgent

    Por ejemplo, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Para obtener más información, consulta Agentes de servicio.

Habilitar las claves de cifrado gestionadas por el cliente en un bus

Cuando habilitas CMEK en un bus de Eventarc Advanced, todos los mensajes que pasan por el bus se cifran por completo con esa clave CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Puedes crear un bus o, si vas a actualizar uno, haz clic en su nombre.

  3. En la página Detalles del autobús, haz clic en Editar.

  4. En la página Editar bus, en Cifrado, selecciona Clave de Cloud KMS.

  5. En la lista Tipo de clave, selecciona un método para gestionar tus claves.

    Puedes gestionar tus claves manualmente o usar Autokey, que te permite generar conjuntos de claves y claves bajo demanda. Si la opción Autokey está inhabilitada, significa que aún no se ha integrado con el tipo de recurso actual.

  6. En la lista Seleccionar una clave de Cloud KMS, elija una clave.

  7. Opcional: Para introducir manualmente el nombre del recurso de la clave, en la lista Seleccionar una clave de Cloud KMS, haz clic en Introducir clave manualmente e introduce el nombre de la clave en el formato especificado.

  8. Si se te pide, concede el rol cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Eventarc.

  9. Haz clic en Guardar.

gcloud

Usa el comando gcloud eventarc message-buses update para habilitar las claves de cifrado gestionadas por el cliente en tu bus:

gcloud eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Haz los cambios siguientes:

  • BUS_NAME: el ID o el identificador completo de tu bus
  • REGION: una ubicación de Eventarc Advanced compatible

  • KEY: el nombre de la clave de Cloud KMS totalmente cualificado con el formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    El REGION de la clave debe coincidir con la ubicación del bus que se va a proteger.

Verificar el uso de Cloud KMS

Verifica que el bus ahora cumpla los requisitos de CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Haz clic en el nombre del bus que has protegido con CMEK.

  3. En la página Detalles del bus, el estado Cifrado indica la clave de cifrado gestionada por el cliente que se está usando. Puedes hacer clic en la clave para ir a ella en Security Command Center.

    De lo contrario, el mensaje de estado es Event messages encrypted using Google-managed encryption keys.

gcloud

Usa el comando gcloud eventarc message-buses describe para describir tu autobús:

 gcloud eventarc message-buses describe BUS_NAME \
     --location=REGION

La salida debería ser similar a la siguiente:

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

El valor cryptokeyName muestra la clave de Cloud KMS que se usa para el bus.

Inhabilitar las claves de cifrado gestionadas por el cliente de un bus

Puedes inhabilitar la protección con CMEK asociada a un bus. Los eventos que se envían a través del bus siguen protegidos por Google-owned and Google-managed encryption keys.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Haz clic en el nombre del autobús.

  3. En la página Detalles del autobús, haz clic en Editar.

  4. En la página Editar bus, en Cifrado, selecciona Clave de cifrado gestionada por Google.

  5. Haz clic en Guardar.

gcloud

Usa el comando gcloud eventarc message-buses update para inhabilitar las claves de cifrado gestionadas por el cliente en tu bus:

gcloud eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Habilitar CMEK en una canalización

Cuando habilitas la CMEK en una canalización de Eventarc Advanced, todos los mensajes que pasan por la canalización se cifran por completo con esa clave CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Pipelines.

    Ir a Pipelines

  2. Puedes crear una canalización o, si vas a actualizar una, hacer clic en su nombre.

  3. En la página Detalles de la canalización, haz clic en Editar.

  4. En la página Editar canalización, en Encriptado, selecciona Clave de Cloud KMS.

  5. En la lista Tipo de clave, selecciona un método para gestionar tus claves.

    Puedes gestionar tus claves manualmente o usar Autokey, que te permite generar conjuntos de claves y claves bajo demanda. Si la opción Autoclave está inhabilitada, significa que aún no se ha integrado con el tipo de recurso actual.

  6. En la lista Seleccionar una clave de Cloud KMS, elija una clave.

  7. Opcional: Para introducir manualmente el nombre del recurso de la clave, en la lista Seleccionar una clave de Cloud KMS, haga clic en Introducir clave manualmente e introduzca el nombre de la clave en el formato especificado.

  8. Si se te pide, concede el rol cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Eventarc.

  9. Haz clic en Guardar.

gcloud

Usa el comando gcloud eventarc pipelines update para habilitar las CMEK en una canalización:

 gcloud eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Haz los cambios siguientes:

  • PIPELINE_NAME: el ID o el identificador completo de tu canal
  • REGION: una ubicación de Eventarc Advanced compatible

  • KEY: el nombre de la clave de Cloud KMS totalmente cualificado con el formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    El REGION de la clave debe coincidir con la ubicación de la canalización que se va a proteger.

Verificar el uso de Cloud KMS

Verifica que la canalización ahora cumpla los requisitos de CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Pipelines.

    Ir a Pipelines

  2. Haga clic en el nombre de la canalización que ha protegido con CMEK.

  3. En la página Detalles de la canalización, el estado Cifrado indica la clave de cifrado gestionada por el cliente que se está usando. Puedes hacer clic en la clave para ir a ella en Security Command Center.

    De lo contrario, el mensaje de estado es Event messages encrypted using Google-managed encryption keys.

gcloud

Usa el comando gcloud eventarc pipelines describe para verificar las claves de cifrado gestionadas por el cliente de tu canal:

 gcloud eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

La salida debería ser similar a la siguiente:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

El valor de cryptokeyName muestra la clave de Cloud KMS que se ha usado en la canalización.

Inhabilitar las claves de cifrado gestionadas por el cliente en una canalización

Puedes inhabilitar la protección con CMEK asociada a una canalización. Los eventos que se envían a través de la canalización siguen protegidos por Google-owned and Google-managed encryption keys.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Pipelines.

    Ir a Pipelines

  2. Haz clic en el nombre de la canalización.

  3. En la página Detalles de la canalización, haz clic en Editar.

  4. En la página Editar canalización, en Cifrado, selecciona Clave de cifrado gestionada por Google.

  5. Haz clic en Guardar.

gcloud

Usa el comando gcloud eventarc pipelines update para inhabilitar las claves de cifrado gestionadas por el cliente en tu canal:

gcloud eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Habilitar CMEK para fuentes de APIs de Google

Cuando habilitas CMEK en un recurso GoogleApiSource, todos los mensajes que se recogen de ese recurso se cifran por completo con la clave CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Puedes crear un bus o, si vas a actualizar uno, haz clic en su nombre.

  3. En la página Detalles del autobús, haz clic en Editar.

  4. Para añadir una fuente de mensajes, haz clic en Añadir fuente.

    Si ya existe una fuente de mensajes, primero debes eliminarla y, después, añadir una nueva.

  5. En el panel Añadir fuente de mensajes, en el proveedor de mensajes de la API de Google, acepta el valor predeterminado google-api-source.

  6. En Encriptado, selecciona Clave de Cloud KMS y haz lo siguiente:

    1. En la lista Tipo de clave, selecciona un método para gestionar tus claves.

      Puedes gestionar tus claves manualmente o usar Autokey, que te permite generar conjuntos de claves y claves bajo demanda. Si la opción Autoclave está inhabilitada, significa que aún no se ha integrado con el tipo de recurso actual.

    2. En Seleccionar una clave de Cloud KMS, elige una clave.

      Debes seleccionar una región para poder ver las claves gestionadas por el cliente.

    3. Opcional: Para introducir manualmente el nombre del recurso de la clave, en la lista Seleccionar una clave de Cloud KMS, haz clic en Introducir clave manualmente e introduce el nombre de la clave en el formato especificado.

    4. Si se te pide, concede el rol cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Eventarc.

  7. Haz clic en Crear.

    De esta forma, se habilita la recogida automática de eventos procedentes directamente de fuentes de Google y todos los mensajes de eventos se cifran por completo con la clave CMEK.

    Solo se publican los eventos de los recursos del mismo Google Cloud proyecto que elGoogleApiSource. Para obtener más información, consulta Publicar eventos de fuentes de Google.

  8. Haz clic en Guardar.

gcloud

Usa el comando gcloud eventarc google-api-sources update para habilitar las claves de cifrado gestionadas por el cliente en tu recurso GoogleApiSource:

gcloud eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Haz los cambios siguientes:

  • GOOGLE_API_SOURCE_NAME: el ID o el identificador completo de su recurso GoogleApiSource
  • REGION: una ubicación de Eventarc Advanced compatible

  • KEY: el nombre de la clave de Cloud KMS totalmente cualificado con el formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    El REGION de la clave debe coincidir con la ubicación del recurso que se va a proteger.

Verificar el uso de Cloud KMS

Verifica que el recurso ahora cumpla los requisitos de CMEK.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Haga clic en el nombre del bus cuya fuente de mensajes haya protegido con una clave de Cloud KMS.

  3. En la página Detalles del autobús, haz clic en Editar.

    Debería aparecer la clave que cifra la fuente del mensaje. Puedes hacer clic en la llave para ir a él en Security Command Center.

    De lo contrario, el mensaje de estado de Cifrado será Event messages encrypted using Google-managed encryption keys.

gcloud

Usa el comando gcloud eventarc google-api-sources describe para verificar las claves de cifrado gestionadas por el cliente de tu recurso GoogleApiSource:

  gcloud eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

La salida debería ser similar a la siguiente:

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

El valor de cryptokeyName muestra la clave de Cloud KMS que se ha usado en la canalización.

Inhabilitar las claves de cifrado gestionadas por el cliente para las fuentes de las APIs de Google

Puedes inhabilitar la protección con CMEK asociada a las fuentes de las APIs de Google. Los eventos que se recogen a través del recurso GoogleApiSource siguen protegidos por Google-owned and Google-managed encryption keys.

Consola

  1. En la Google Cloud consola, ve a la página Eventarc > Bus.

    Ir a Bus

  2. Haga clic en el nombre del bus cuya fuente de mensajes haya protegido con CMEK.

  3. En la página Detalles del autobús, haz clic en Editar.

  4. Para eliminar la fuente del mensaje cifrada con una clave de Cloud KMS, haz clic en Eliminar recurso.

  5. Si es necesario, vuelve a añadir la fuente del mensaje.

gcloud

Usa el comando gcloud eventarc google-api-sources update para inhabilitar las claves de cifrado gestionadas por el cliente en tu recurso GoogleApiSource:

gcloud eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Aplicar una política de organización de CMEK

Eventarc se integra con dos restricciones de políticas de la organización para ayudar a asegurar el uso de CMEK en toda la organización:

  • constraints/gcp.restrictNonCmekServices se usa para requerir protección con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects se usa para limitar las claves de Cloud KMS que se utilizan para la protección con CMEK.
.

Esta integración le permite especificar los siguientes requisitos de cumplimiento del cifrado para los recursos de Eventarc de su organización:

Consideraciones al aplicar políticas de organización

Antes de aplicar cualquier política de organización de CMEK, debes tener en cuenta lo siguiente.

  • Prepárate para un retraso en la propagación

    Después de definir o actualizar una política de la organización, la nueva política puede tardar hasta 15 minutos en aplicarse.

  • Tener en cuenta los recursos disponibles

    Los recursos ya creados no están sujetos a las políticas de la organización que se creen posteriormente. Por ejemplo, una política de organización no se aplica de forma retroactiva a las canalizaciones que ya existen. Se puede seguir accediendo a esos recursos sin una CMEK y, si procede, siguen cifrados con las claves que ya tenían.

  • Verificar los permisos necesarios para definir una política de la organización

    Puede que sea difícil obtener el permiso para definir o actualizar la política de la organización con fines de prueba. Debes tener el rol Administrador de políticas de la organización, que solo se puede asignar a nivel de organización (no a nivel de proyecto o carpeta).

    Aunque el rol debe concederse a nivel de organización, sigue siendo posible especificar una política que solo se aplique a un proyecto o una carpeta concretos.

Requerir CMEKs para los nuevos recursos de Eventarc

Puede usar la restricción constraints/gcp.restrictNonCmekServices para requerir que se usen CMEKs para proteger los nuevos recursos de Eventarc de una organización.

Si se define, esta política de organización provoca que fallen todas las solicitudes de creación de recursos sin una clave de Cloud KMS especificada.

Una vez que hayas configurado esta política, solo se aplicará a los recursos nuevos del proyecto. Los recursos que ya tengas y a los que no se les haya aplicado ninguna clave de Cloud KMS seguirán existiendo y se podrá acceder a ellos sin problemas.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En Filtrar, busca la siguiente restricción:

    constraints/gcp.restrictNonCmekServices

  3. En la columna Nombre, haga clic en Restringir los servicios que pueden crear recursos sin CMEK.

  4. Haz clic en Gestionar política.

  5. En la página Editar política, vaya a Fuente de la política y seleccione Anular política del recurso superior.

  6. En Reglas, haz clic en Añadir una regla.

  7. En la lista Valores de la política, selecciona Personalizado.

  8. En la lista Tipo de política, selecciona Denegar.

  9. En el campo Valores personalizados, introduce lo siguiente:

    is:eventarc.googleapis.com

  10. Haz clic en Hecho y, a continuación, en Definir política.

gcloud

  1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:eventarc.googleapis.com

    Sustituye PROJECT_ID por el ID del proyecto en el que vas a aplicar esta restricción.

  2. Ejecuta el comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar que la política se ha aplicado correctamente, puedes intentar crear una canalización avanzada de Eventarc en el proyecto. El proceso falla a menos que especifiques una clave de Cloud KMS.

Restringir las claves de Cloud KMS de un proyecto de Eventarc

Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects para limitar las claves de Cloud KMS que puedes usar para proteger un recurso en un proyecto de Eventarc.

Por ejemplo, puedes especificar una regla similar a la siguiente: "Para los recursos de Eventarc aplicables en projects/my-company-data-project, las claves de Cloud KMS usadas en este proyecto deben proceder de projects/my-company-central-keys O projects/team-specific-keys".

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En Filtrar, busca la siguiente restricción:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. En la columna Nombre, haga clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.

  4. Haz clic en Gestionar política.

  5. En la página Editar política, vaya a Fuente de la política y seleccione Anular política del recurso superior.

  6. En Reglas, haz clic en Añadir una regla.

  7. En la lista Valores de la política, selecciona Personalizado.

  8. En la lista Tipo de política, selecciona Permitir.

  9. En el campo Valores personalizados, introduce lo siguiente:

    under:projects/KMS_PROJECT_ID

    Sustituye KMS_PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que quieres usar.

    Por ejemplo, under:projects/my-kms-project.

  10. Haz clic en Hecho y, a continuación, en Definir política.

gcloud

  1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Sustituye lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que estás aplicando esta restricción.
    • KMS_PROJECT_ID: el ID del proyecto en el que se encuentran las claves de Cloud KMS que quieres usar.

  2. Ejecuta el comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar que la política se ha aplicado correctamente, puedes intentar crear una canalización avanzada de Eventarc con una clave de Cloud KMS de otro proyecto. El proceso fallará.

Habilitar e inhabilitar claves de Cloud KMS

Una versión de clave almacena el material de clave criptográfica que usas para encriptar, desencriptar, firmar y verificar datos. Puedes inhabilitar esta versión de la clave para que no se pueda acceder a los datos que se hayan cifrado con ella.

Cuando Eventarc no puede acceder a las claves de Cloud KMS, el enrutamiento de eventos falla con errores FAILED_PRECONDITION y se detiene el envío de eventos. Puedes habilitar una clave en el estado Inhabilitada para que se pueda volver a acceder a los datos encriptados.

Inhabilitar claves de Cloud KMS

Para evitar que Eventarc use la clave para cifrar o descifrar los datos de tus eventos, haz lo siguiente:

Aunque ninguna de las dos operaciones garantiza la revocación instantánea del acceso, los cambios en la gestión de identidades y accesos (IAM) suelen propagarse más rápido. Para obtener más información, consulta Consistencia de recursos de Cloud KMS y Propagación de cambios de acceso.

Volver a habilitar claves de Cloud KMS

Para reanudar el envío y el enrutamiento de eventos, restaura el acceso a Cloud KMS.

Registros de auditoría y solución de problemas

Cloud KMS genera registros de auditoría cuando se habilitan o inhabilitan claves, o cuando los recursos avanzados de Eventarc las usan para cifrar y descifrar mensajes. Para obtener más información, consulta la información sobre el registro de auditoría de Cloud KMS.

Para solucionar los problemas que puedan surgir al usar Cloud KMS con Eventarc, consulta Solucionar problemas.

Para resolver los problemas que puedan surgir al usar claves gestionadas de forma externa a través de Cloud External Key Manager (Cloud EKM), consulta la referencia de errores de Cloud EKM.

Precios

La integración del bus no conlleva costes adicionales más allá de las operaciones clave, que se facturan a tu Google Cloud proyecto. El uso de CMEK en una canalización conlleva cargos por el acceso al servicio Cloud KMS según los precios de Pub/Sub.

Para obtener más información sobre los precios más actuales, consulta la página Precios de Cloud KMS.

Siguientes pasos